Pkw-Sicherheit: Auch Autos kann man hacken
Bremsen blockieren, Insassen einsperren, laute Musik einspielen: Wer sich in den Bordcomputer eines modernen Pkw einschleust, kann viel Schaden anrichten.
Das Herz eines modernen Autos schlägt heute nicht mehr im Motor. Vielmehr pulst in seinem Inneren ein Prozessor und gibt den Takt vor. Die meisten Funktionen, vom Bremsen bis zur Tacho-Anzeigen, sind elektronisch gesteuert. "Heute basieren 90 Prozent aller Innovationen im Auto auf Software und Elektronik", sagte Ulrich Weinmann, Geschäftsführer der BMW Car IT.
Das Interview mit dem Handelsblatt , in dem er das sagte, ist schon sieben Jahre alt. Inzwischen sind die Autos noch viel weiter. Ein Blick auf die aktuelle Pannenstatistik des ADAC zeigt: Schäden an der Fahrzeugelektronik waren mit über 40 Prozent der häufigste Anlass für Ärger. Zum Vergleich: Nur 7,6 Prozent der Wagen hatten Probleme mit dem Motor.
Dass die Bordvercomputerung sogar regelrecht gefährlich werden kann, legt eine Studie amerikanischer Sicherheitsforscher nahe, die diesen Mittwoch auf der Security Conference in Oakland vorgestellt werden soll. In seinem Bericht beschreibt das Team, dass man über den Diagnose-Port Zugriff auch auf sensible Systeme bekommen und den Fahrer komplett abklemmen kann. Ob Bremsen, Motor oder Anzeigen, die "rudimentären Sicherheitsmaßnahmen" hätten leicht überwunden werden können.
So gelang es den Technikern die Bremsen eines Autos auszuschalten, die Geschwindigkeitsanzeige zu verstellen, heiße Luft ins Wageninnere zu pusten, die Musik voll aufzudrehen oder die Insassen im Wageninneren einzusperren. Alles über den Zugriff auf die autoeigene IT.
Die Forscher verwendeten für ihre Experimente zwei aktuelle Auto-Modelle aus dem Jahr 2009 – welche Automarken es genau waren, wollen sie nicht sagen, schreiben aber, dass diese Art des Zugriffs theoretisch bei so gut wie jedem neuen Modell möglich wäre. Genutzt wurden die Stecker, die Werkstätten dazu dienen, die Fehlerspeicher der Fahrzeuge auszulesen oder neue Software aufzuspielen – heutzutage Standardverfahren bei Reparaturen.
Der Kernpunkt ist dass man Zugriff auf das Fahrzeug haben muss um entweder einen Computer anzuschließen oder ein Gerät zum Empfang zu installieren.
Das ist so als ob ich sage der Computer in einer Firma ist nicht sicher da man die Festplatte ausbauen kann und auslesen kann (Ohne Verschlüsselung und TPM).
Es ist dich schon seit eh und je so dass wenn man Zugriff auf etwas hat, man daran basteln kann.
Solange man PKWs nicht ohne Zusatzinstallation umprogrammieren kann muss man sich keine Sorgen machen.
Und in dieser Hinsicht - jeder Mechaniker ist dazu in der Lage - viele haben eine Notebook mit der entsprechenden Software um Einstellungen zu verändern - allerdings mit dem Ziel einen PKW zu reparieren.
Insofern muss die Studie eigentlich auch nichts verheimlichen - es sei denn es geht darum wie genau man den PKW umprogrammieren sollte - aber auch da kann sich ein Programmierer die Software sicherlich besorgen - und auseinander nehmen.
Jemand kann ja auch die Radmuttern lösen oder die Bremsleitungen manipulieren wenn es darum geht ein Auto unkontrollierbar zu machen.
Solange Bordcomputer nicht „online“ via Internet erreicht werden können müssen wir wirklich keine Sorgen haben.
Ich kann Ihrer Argumentation nicht so ganz folgen. Ein Auto hat nicht die gleichen Infrastruktursicherungen wie ein Rechner in einem Betrieb oder ein Server in einem Serverraum, was in der Natur des Autos liegt: es ist mobil.
Zum Einen ist der Zugriff über den Diagnoseport (wofür man nur die Motorhaube öffnen muss - und die ist nicht mit Hochsicherheitstechnik gesichert, sondern lässt sich mit einem Drahtkleiderbügel öffnen) nicht wirklich schwierig und zum Anderen auch nicht unbedingt notwendig, da es ausreicht an irgendeiner Stelle Zugriff auf den CAN - Bus zu erlangen, da es sich dabei um eine 2-Drahtleitung handelt, die quasi im gesamten Auto langläuft, ist dafür auch kein Technik-Vodoo nötig.
Jemand kann ja auch die Radmuttern lösen oder die Bremsleitungen manipulieren wenn es darum geht ein Auto unkontrollierbar zu machen.
Solange Bordcomputer nicht „online“ via Internet erreicht werden können müssen wir wirklich keine Sorgen haben.
Ich kann Ihrer Argumentation nicht so ganz folgen. Ein Auto hat nicht die gleichen Infrastruktursicherungen wie ein Rechner in einem Betrieb oder ein Server in einem Serverraum, was in der Natur des Autos liegt: es ist mobil.
Zum Einen ist der Zugriff über den Diagnoseport (wofür man nur die Motorhaube öffnen muss - und die ist nicht mit Hochsicherheitstechnik gesichert, sondern lässt sich mit einem Drahtkleiderbügel öffnen) nicht wirklich schwierig und zum Anderen auch nicht unbedingt notwendig, da es ausreicht an irgendeiner Stelle Zugriff auf den CAN - Bus zu erlangen, da es sich dabei um eine 2-Drahtleitung handelt, die quasi im gesamten Auto langläuft, ist dafür auch kein Technik-Vodoo nötig.
Jemand kann ja auch die Radmuttern lösen oder die Bremsleitungen manipulieren wenn es darum geht ein Auto unkontrollierbar zu machen.
Solange Bordcomputer nicht „online“ via Internet erreicht werden können müssen wir wirklich keine Sorgen haben.
Ich kann Ihrer Argumentation nicht so ganz folgen. Ein Auto hat nicht die gleichen Infrastruktursicherungen wie ein Rechner in einem Betrieb oder ein Server in einem Serverraum, was in der Natur des Autos liegt: es ist mobil.
Zum Einen ist der Zugriff über den Diagnoseport (wofür man nur die Motorhaube öffnen muss - und die ist nicht mit Hochsicherheitstechnik gesichert, sondern lässt sich mit einem Drahtkleiderbügel öffnen) nicht wirklich schwierig und zum Anderen auch nicht unbedingt notwendig, da es ausreicht an irgendeiner Stelle Zugriff auf den CAN - Bus zu erlangen, da es sich dabei um eine 2-Drahtleitung handelt, die quasi im gesamten Auto langläuft, ist dafür auch kein Technik-Vodoo nötig.
Dann nehmen sie ein durchschnittliches Notebook das eine Firma den Mitarbeitern ausleiht.
Ich vermute die wenigsten nutzen ein TPM Modul oder verschlüsseln die Festplatte - da ist es Mobil.
Und auch Schlösser können "geknackt" werden - insofern ist vielleicht ein Server in einer großen Firma sicher, aber nicht Computer oder Server in kleineren Betrieben.
Wenn man ein fremdes sabotieren möchte und die Motorhaube öffnen kann, dann kann man doch eh jede Menge höchst gefährlichen Unsinn anstellen - ob man das nun elektronisch macht oder mechanisch.
Auch Zugriff und Manipulation des CAN-Busses dürfte kaum weniger aufwändig sein als andere Sabotagemethoden.
Von daher gebe sehe ich es ähnlich wie die meisten bisherigen Kommentare hier:
So lange man für solche Manipulationen physischen Zugriff auf das Auto braucht und sich daran zu schaffen machen muss, sehe ich kein deutlich gesteigertes Gefahrenpotential im Vergleich zur bisherigen Situation.
Ein gesteigertes und wirklich ernst zu nehmendes Gefahrenpotential sehe ich erst, wenn die Autos vernetzt sind und somit ohne physischen Zugriff manipuliert werden können.
Da steckt imho die eigentliche, durchaus reale Gefahr, denn genau da geht die Entwicklung ja hin.
Gerade vor Kurzem hat ja in den USA glaube ich z.B. ein entlassener Autoverkäufer irgendwelche Autos lahmgelegt, um sich an seinem früheren Arbeitgeber zu rächen.
Wer es schafft sich Zugang zur Diagnoseschnittstelle zu verschaffen kann auch einfach die Bremsflüssigkeit ablassen oder andere Dinge tun, die die fatale Folgen für den Fahrzeugführer und die Mitfahrer hat.
Ich halte daher das Bild im Beitrag für absolut übertrieben.
Dann nehmen sie ein durchschnittliches Notebook das eine Firma den Mitarbeitern ausleiht.
Ich vermute die wenigsten nutzen ein TPM Modul oder verschlüsseln die Festplatte - da ist es Mobil.
Und auch Schlösser können "geknackt" werden - insofern ist vielleicht ein Server in einer großen Firma sicher, aber nicht Computer oder Server in kleineren Betrieben.
Wenn man ein fremdes sabotieren möchte und die Motorhaube öffnen kann, dann kann man doch eh jede Menge höchst gefährlichen Unsinn anstellen - ob man das nun elektronisch macht oder mechanisch.
Auch Zugriff und Manipulation des CAN-Busses dürfte kaum weniger aufwändig sein als andere Sabotagemethoden.
Von daher gebe sehe ich es ähnlich wie die meisten bisherigen Kommentare hier:
So lange man für solche Manipulationen physischen Zugriff auf das Auto braucht und sich daran zu schaffen machen muss, sehe ich kein deutlich gesteigertes Gefahrenpotential im Vergleich zur bisherigen Situation.
Ein gesteigertes und wirklich ernst zu nehmendes Gefahrenpotential sehe ich erst, wenn die Autos vernetzt sind und somit ohne physischen Zugriff manipuliert werden können.
Da steckt imho die eigentliche, durchaus reale Gefahr, denn genau da geht die Entwicklung ja hin.
Gerade vor Kurzem hat ja in den USA glaube ich z.B. ein entlassener Autoverkäufer irgendwelche Autos lahmgelegt, um sich an seinem früheren Arbeitgeber zu rächen.
Wer es schafft sich Zugang zur Diagnoseschnittstelle zu verschaffen kann auch einfach die Bremsflüssigkeit ablassen oder andere Dinge tun, die die fatale Folgen für den Fahrzeugführer und die Mitfahrer hat.
Ich halte daher das Bild im Beitrag für absolut übertrieben.
Dann nehmen sie ein durchschnittliches Notebook das eine Firma den Mitarbeitern ausleiht.
Ich vermute die wenigsten nutzen ein TPM Modul oder verschlüsseln die Festplatte - da ist es Mobil.
Und auch Schlösser können "geknackt" werden - insofern ist vielleicht ein Server in einer großen Firma sicher, aber nicht Computer oder Server in kleineren Betrieben.
wenn der nacktgescannte Fahrer die Kennzeichenerfassungsanlage passiert hat und sein Mobilfunkgerät in vollendeter Redundanz noch den aktuellen Puls übermittelt, um dann die Bankdaten an sämtliche umliegenden Ärzte zu verschicken, damit die Rettung auch tatsächlich gestartet werden kann, sind wir auf der sicheren Seite.
Genau daran musste ich auch denken. Die Retter werden dann den Identitätschip unter der Haut einlesen, um stellvertretend im Facebook-Profil auch gleich die Abwesenheit bekanntgeben zu können.
artig!
Genau daran musste ich auch denken. Die Retter werden dann den Identitätschip unter der Haut einlesen, um stellvertretend im Facebook-Profil auch gleich die Abwesenheit bekanntgeben zu können.
artig!
Genau daran musste ich auch denken. Die Retter werden dann den Identitätschip unter der Haut einlesen, um stellvertretend im Facebook-Profil auch gleich die Abwesenheit bekanntgeben zu können.
artig!
Als im Frühjahr einige Kunden kein Geld abheben konnten, gehörte ich zwar nicht dazu, trotzdem hatte ich an einigen Automaten Schwierigkeiten.
Nach einem Monat gehe ich an einen neuen Schalter, hoffend, dass alles gut geht. Zuerst werde ich darüber informiert, dass ich die Karte vorläufig nicht aus dem Automaten zurückhaben kann. Es hieß, ich solle warten. Ich wartete. Dann hieß es, die Software des Bankkarten-Chips werde aktualisiert.
An der Stelle staunte ich, nahm ich doch an, meine Chipkarte erlaube nur Leseberechtigungen und werde bei Schreibfällen ersetzt. Nein, falsch, irgendjemand kann notfalls auf meine sichere Bankkarte zugreifen, um meine Software zu aktualisieren.
Digitale Sicherheit lebt viel von Unwissen und Illusion, scheint mir. Ich habe mir vor kurzem von einem pfiffigen Jungen vorführen lassen, mit wie wenig Aufwand sog. WEP-gesicherte WLAN-Netze knackbar sind. Er benutzte eine Software, die im Internet herunterladbar sein soll.
Am Auto finde ich bedenklich, dass, wie manche Vorredner schon erwähnten, der Wagen als Geschoss über Autobahnen rast und ansonsten mobiler und gefährlicher als ein Handy, eine Festplatte oder ein Taschenbuch ist.
Bitte melden Sie sich an, um zu kommentieren